• 23/12/2024

Cómo debés proteger tu identidad digital ante los ciberataques

Sitios como Facebook, Google, Twitter e inclusive bancos permiten la implementación sencilla de sistemas de autentificación secundarios
25/01/2022 - 11:41hs
Cómo debés proteger tu identidad digital ante los ciberataques

El "login" es el primer punto de contacto de un negocio o servicio con los usuarios, por eso es fundamental para lograr una buena experiencia que combine comodidad, privacidad y seguridad, así como para garantizar una buena primera impresión de los usuarios.

Auth0, el "unicornio" argentino que en 2021 se convirtió en una unidad de producto de Okta especializada en protección de identidad digital, difundió un informe sobre cuáles fueron las principales amenazas registradas en 2021 y los puntos básicos a considerar para ser eficientes en la gestión de identidades digitales seguras y prácticas.

Las identidades digitales están en evolución permanente y en todo momento se redefine quiénes somos como usuarios. Desde las combinaciones básicas de nombre de usuario y contraseña hasta huellas dactilares y perfiles de comportamiento basados en el navegador, un sistema de identidad debe garantizar que cada usuario es quien dice ser, y mitigar actividades fraudulentas.

En un contexto en el que los ciberataques persiguen a las organizaciones y a las personas cada vez más, las plataformas de manejo de identidades y accesos de Auth0 detectaron en los primeros 90 días de 2021 un promedio de más de 26.600 contraseñas violadas por día.

De acuerdo con el último informe de Auth0, que esta empresa compartió con iProfesional, hasta el 40% de los inicios de sesión están relacionados con ataques de reutilización de contraseñas. Los siguientes sectores fueron objeto de ataques:

  • Turismo, viajes y ocio.
  • Comercio minorista.
  • Gobierno.

Entre las fallas más aprovechadas del último año, estuvieron las omisiones de autenticación multifactorial por parte del usuario. A partir de esta omisión, el delincuente accede eludiendo esta defensa. Solo en el primer trimestre de 2021, Auth0 detectó más de 87.000 intentos de ingreso no autorizado a través de esta técnica.

Se observó que el 15% de los registros erróneos corresponden a registros fraudulentos, donde los delincuentes abusan del proceso de inicio de sesión para crear "cuentas marioneta" o cuentas falsas.

Recomendaciones para el manejo de la identidad

Para los sitios y aplicaciones que demandan identificación con usuario + contraseña, resulta indispensable que el usuario no utilice la misma contraseña para diferentes cuentas.

También debe intentar que las contraseñas tengan al menos 18 caracteres cuando sea posible, además de la consideración del uso de un administrador de contraseñas como 1Password, compatible con LastPass, Keepass o llaveros por el sistema operativo o navegador. Para cuentas que no están en un administrador de contraseñas, se recomienda la creación de frases largas, únicas y memorables.

Es importante que todas las cuentas personales importantes como el correo electrónico, redes sociales y aplicaciones relacionadas con las finanzas, estén protegidas con autenticación multifactorial (MFA) a través de aplicaciones como Auth0 Guardian, Duo, Google Authenticator o incluso SMS, que permiten un método de verificación que requiere más de un tipo de validación de usuario.

Las redes sociales son uno de los ámbitos más problemáticos a la hora de resguardar la privacidad. Por eso se recomienda la configuración de privacidad en cada uno de los perfiles, no publicar información privada como la dirección del hogar, fotos privadas, número de teléfono o números de tarjetas de crédito públicamente y evitar jugar con juegos o responder encuestas en las redes sociales que solicitan información privada confidencial.

Mantener la computadora y teléfono bloqueados con una contraseña o un pin de más de cuatro números también es de gran importancia, al igual que cambiar las contraseñas predeterminadas de dispositivos de Internet de las cosas (IoT) que incorporamos al hogar.

Frente a las tendencias de ciberataques, también crece la importancia de ser cautelosos con los permisos que se aceptan para todas las aplicaciones que empleamos, así como eliminar las aplicaciones en desuso.

Esto se suma al cifrado del teléfono, la computadora y discos duros externos, así como el mantenimiento de los sistemas operativos actualizados con la última versión en todo momento y realizar una copia de seguridad de archivos importantes.

Cómo crear una contraseña fuerte y proteger tu identidad digital

Se dice que una contraseña es fuerte cuando tiene una considerable extensión y posee símbolos, mayúsculas, minúsculas e inclusive números. Es decir, cuando está fuera del listado de peores contraseñas habituales como "123456" o "password".

Este esquema intenta mitigar los ataques denominados de fuerza bruta, con los cuales se intenta adivinar la clave probando todas las combinaciones posibles hasta dar con la indicada.

Sin embargo, en la mayoría de servicios actuales en la red, este tipo de ataques ya no es viable, debido a que los proveedores de las aplicaciones bloquean las cuentas luego de unos pocos intentos fallidos; ya sea por captchas o mediante un correo para reactivar las cuentas, el usuario o el atacante que ha ingresado varias claves erróneas no podrá seguir probando. Esto significa que el clásico ataque de fuerza bruta con herramientas automatizadas, en estos casos, ha quedado en desuso.

Podrías pensar entonces que no es necesario que las contraseñas sean extremadamente largas ni con tantas variaciones de símbolos, pero aquí no termina el tema. Existen otros casos en los que aún es importante generar una contraseña compleja y de un tamaño considerable.

Por ejemplo, si se desea cifrar o comprimir un archivo con clave, en el caso de escritorios remotos o cuentas de FTP que no contemplen políticas de bloqueos. Otro ejemplo podría ser la clave maestra de un gestor de contraseñas. Las contraseñas no deben repetirse entre distintas plataformas: la del correo no puede ser la misma que la de una red social. Además, deben ser fáciles de recordar.

¿Por qué esto va de la mano con soluciones de seguridad y gestores de contraseñas? En ocasiones, utilizar contraseñas fuertes no es suficiente porque los ciberdelincuentes prefieren evadir por completo la labor de adivinarlas, y utilizan códigos maliciosos como "keyloggers", "exploits" o diversos RAT para robar las credenciales directamente desde la PC del usuario. De esta forma, utilizar soluciones integrales de seguridad o antivirus ayuda a proteger las claves y privacidad de los sistemas.

Existen varias herramientas para crear y administrar contraseñas. Se destacan por funcionalidades útiles como la capacidad de importar datos, automatizar claves y ayudarte a crearlas y almacenarlas.

LastPass, KeePass, LogMeOnce y 1U Password Manager son algunas de las más conocidas entre las gratuitas, y a menudo se analizan sus funcionalidades para que pueda elegir la que más le agrade.

Por otro lado, se utiliza software que suma una segunda barrera de seguridad. Estas soluciones ofrecen un segundo factor de autentificación, es decir que además del método clásico de usuario y contraseña, se agrega un factor adicional que permite adicionar un grado más de robustez al proceso de identificación en determinados servicios.

Sitios como Facebook, Google, Twitter e inclusive entornos corporativos y financieros permiten la implementación sencilla de estos sistemas de autentificación secundarios, que emiten un código numérico para cada inicio de sesión.